猫头鹰
信安舆情早知道

FireEye:Hancitor(Chanitor)使用多种攻击方法

作者:Ankit Anubhav、Dileep Kumar Jallepalli(威胁研究、高级恶意软件研究

翻译:小王子/棱安全团队

审校:小王子/棱安全团队

前言


通常情况下,攻击者会通过多种攻击方式来确保攻击的成功,使用恶意软件Hancitor(又名Chanitor)来进行攻击的攻击者也不例外,并且会采取三种方式来传播Hancitor,以便窃取受害者数据,其采用的技术包括罕见的API滥用和PowerShell方法。

FireEye在最近的Hancitor攻击中发现,攻击者通过分布在垃圾邮件的附件中来传播Hancitor恶意软件,该恶意软件软件一旦下载并执行,会通过中间payload远程下载小马DLL及Vawtrak网银木马来执行,进而进行数据窃取,并连接到C&C服务器。

第1阶段:电子邮件传送


在电子邮件中,观察到一些涉及发票的钓鱼邮件,这些邮件的附件是包含恶意宏的office文档,启用后会下载Hancitor,如图1所示。

fig1

图1 带恶意文档附件的邮件

第2阶段:宏观和引诱机制


一旦打开附件,恶意软件会采用典型的引诱机制,诱导受害者启用宏,如图2所示,FireEye观察到攻击者使用了三种不同的攻击方法。

fig2

图2 引诱受害者启用宏

1、第一种方法

与其他的恶意宏不同的是,这个方法在运行payload时没有直接调用API,通常情况下宏可以直接调用API,但是不能运行shellcode。而用于传送Hancitor的恶意宏能够调用本地的Windows API“CallWindowProc”,以此解释执行shellcode,如图3所示。

fig3

图3 使用CallWindowProc来执行shellcode的宏代码

2、第二种方法

最近,FireEye捕获一个Hancitor样本,该样本利用新的API回调函数。除了使用CallWindowProc外,还可以使用EnumResourceTypesA函数来解释执行shellcode,如图4所示。

fig4

图4 EnumResourceTypesA函数API声明

3、第三种方法

在一个恶意文档文件中发现用于传送Hancitor的第三种方法,虽然攻击者和C&C服务器与第二种方式类似,但是这个方法使用了另一种策略,以达到窃取数据的目的。

在这种方法中,图2所示的引诱消息还有另一个目的,它不仅诱导受害者启用宏,而且被赋予一个替代的文字“fkwarning”,如图5所示。宏具有检查该属性的代码,以确保引诱消息形状对象存在。如果没有找到这个对象,宏将退出,并且不下载其他的payload。

fig5

图5 确保诱导信息的代码

但即使找到了引诱消息,Hancitor在运行一次宏后,也会将引诱消息删除,使得宏不会被再次执行,如图6所示。

fig6

图6 包含引诱消息删除的代码

该恶意宏通过显示网络错误的文档替换删除的图片,以减少用户的怀疑,如图7所示。值得注意的是,该文本始终存在于恶意宏中,但是只有宏第一次执行时该文本才是可见的。

fig7

图7 隐藏文本在宏第一次执行可见

之后,宏会结合代码片段来执行PowerShell命令,不像其他方法将恶意代码隐藏在代码、表单或者元数据中,该方法将代码嵌入图像的section_header内,通过提取代码片段并组合成PowerShell命令,如图8所示。该技术能够逃避一些检测宏的基本静态方法。

fig8

图8 增大字体后在观察到的PowerShell命令

该恶意软件的作者采取了非常简单但有趣的方法来掩盖PowerShell命令文本,即将字体大小设置为小1,如图9所示,这样就可以减少用户在不经意间观察到异常的可能性。

fig9

图9 最小字体隐藏页眉内容

Hancitor使用“DownloadFile”方法,从攻击者控制的网站获得一个ZIP压缩包格式的payload,PowerShell使用“copyhere”方法来解压payload,“.Item”的属性被设置成16,并且会忽略所有的警告,如图10所示。

fig10

图10 下载和解压payload的代码

一旦从压缩包中解压出可执行文件,宏代码会使用“Kill”来删除所下载的压缩包,可执行文件被运行后,将下载小马和Vawtrak网银木马变种来窃取数据。

fig11

图11 删除压缩包的代码

4、殊途同归——不同的方法,相同的Hancitor

虽然通过第二种和第三种方法来分发Hancitor存在着差异,但是其目标却是相同的,并且二者都使用了相同的命令和C&C服务器。

不过,通过对比知道,Hancitor第二个方法中的C&C服务器和第一个方法还是有点区别,第二个方法中的URL结尾是ls5/gate.php,而第一个的是ls4/gate.php,如图12所示。

fig12

图12 更新对比的Hancitor

第三阶段:第一阶段的payload


该文件将自身复制到“%SYSTEM32%”,并创建一个持久运行注册表键值项。在执行时,它会与攻击者控制器网站进行通信,以下载小马恶意软件“pm.dll”的变体和Vawtrak网银木马。

第四阶段:第二阶段小马payload窃取数据的能力


在第二阶段观察到小马变体的数据窃取能力,其中包括:

1)窃取自动填充的Intelliforms数据,包括用户密码,如图13所示。

fig13

图13 窃取Intelliforms注册表项的内容

2)在图14中可以看到,唯一的GUID有助于保存解密的凭证。

fig14

图14 凭据窃取

3)从“signons.txt”访问Mozilla保存的密码,如图15所示。

fig15

图15 访问Mozilla保存的密码

4)图16给出了通过访问微软OMI邮件配置信息进行数据窃取,可以看到与outlook配置信息相关的注册表项,其中包含有关的电子邮件和其他的数据存储。

fig16

图16 通过注册表访问并窃取Outlook数据的恶意软件代码

结论


负责Hancitor编写的作者已经开发出恶意宏中的几个功能,支持恶意软件安装和数据窃取。这些功能包括利用罕见的API和混淆的PowerShell命令,使得检测变得更加具有挑战性。

FireEye建议阻止来自互联网office文档的宏,在所有情况下谨慎启用宏,并且用户应当对不受信任来源的电子邮件提高警惕。

来源:FireEye

【文章属于MottoIN原创编辑翻译,未经许可禁止转载】

转载请注明来自MottoIN,未经允许不得转载!MottoIN » FireEye:Hancitor(Chanitor)使用多种攻击方法

分享到:更多 ()

评论 抢沙发

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们